2020年12月全体を通じて、サイバーリーズンのNocturnusチームは、ホリデーシーズン(より具体的に言えばオンラインショッピング)に関連したサイバー犯罪活動を追跡してきました。ちなみに、2020年は、誰もが知る明白な理由により、消費者が自らのショッピング習慣を変え、ショッピングの大半をオンラインで行うようになった年です。

消費者は昔からサイバー犯罪者にとって格好の標的となってきましたが、COVID-19の大流行によりオンラインショッピングの取引量が急増したことで、消費者を標的とした攻撃がさらに魅力的なものになる可能性があります。今年8月に発表されたIBMのU.S. Retail Indexのデータによれば、「今回のパンデミックにより、実店舗からデジタルショッピングへの移行が約5年早まった」ことや、「Eコマースは2020年には約20%成長すると予測されている」ことが明らかとなっています。

サイバー犯罪者はこのようなトレンドを追いかけており、このトレンドを利用することで金銭的な利益を得ようとしています。最近目を引いた攻撃の中には、Amazonギフトカードを進呈すると偽って、バンキング型トロイの木馬であるDridexを配信しようとするものがありました。

主な調査結果

  • 脅威アクターはホリデーシーズンに便乗:オンラインショッピングの取引量が増加傾向にある中、脅威アクターは、最も人気のあるショッピングプラットフォームの1つであるAmazonのユーザーを標的にしています。
  • 標的のほとんどは米国や西欧諸国に住む人々:被害者の大部分は、米国や西欧諸国に住む人々です。これらの国は、いずれもAmazonの人気が高い地域であり、自国向けにローカライズされたAmazonのWebサイトを有していることが共通しています。
  • ソーシャルエンジニアリングを利用:この攻撃は、正規のものに見えるような電子メール、アイコン、命名規則を使うことで、被害者をおびき寄せ、悪意ある添付ファイルをダウンロードさせようとします。
  • 3つの異なる感染手法を提供:この攻撃は、標的を感染させる手法として、SCRファイル、悪意ある文書、およびVBScriptという3つの異なる手法を提供しています。
  • 多段階型攻撃:各感染メカニズムにはそれぞれ複数の段階が含まれており、異なるファイルタイプを含むパスワード保護されたアーカイブを解凍するか、またはPowerShellコマンドを実行することでC2サーバーに接続します。
  • 最終ペイロードが重大な結果を引き起こす:この攻撃の最終ペイロードは、悪名高いバンキング型トロイの木馬Dridexであるため、被害者は感染した後、さらなるバンキングデータの流出にさらされることになります。

背景

Dridexは、最も多くの被害件数を誇る悪名高いバンキング型トロイの木馬の1つであり、少なくとも2012年から、さまざまなバリアントに形を変えて活動を続けており、以前はFeodoと呼ばれていました(CridexやBugatという別名もあります)。

Dridexは、電子バンキングのクレデンシャルやその他の機密情報を盗み出す検知回避型のマルウェアであると考えられています。Dridexは、複数のコマンド&コントロール(C2)サーバーから構成される回復力のあるインフラストラクチャを利用しています。

これらのC2サーバーは互いにバックアップサーバーとして機能しており、これらのサーバーのうち1台がダウンした場合でも次のサーバーへの接続が行われるため、Dridexは盗み出したデータを引き続き流出させることが可能となります。

Dridexは、悪意あるマクロが組み込まれたMicrosoft Office文書を含んでいるフィッシングメールを通じて配信されるのが最も一般的です。また、Dridexは継続的にアップデートされており、アンチ分析などの新しい機能を絶えず取り込んでいます。

Dridexは、Evil Corpによって広く利用されているマルウェアです。Evil Corpは最も成功しているサイバー犯罪組織の1つで、10年以上前から活動を続けています。Evil Corpの関連組織の中でも特に知られているのがTA505です。

TA505は金銭目当てのサイバー犯罪グループであり、2014年からDridexを配布しています。TA505は、SDBOTServhelperFlawedAmmyyなどのマルウェアをはじめ、CLOPランサムウェアを使用していることでも知られています。

現在行われている攻撃は、標的とする消費者にAmazonのギフトカードが進呈されたという偽の情報を伝えた後、下記に示す3つの手法を通じて標的を感染させようとします。これらの感染手法は、被害者をおびき寄せてファイルをクリックさせるという点ではどれも似通っていますが、実行フローの点ではそれぞれ異なっています。

  • 悪意あるマクロを含むWord文書
  • 自己解凍型のSCRファイル(Dridexで使用されている既知の手法
  • 電子メールに添付されたVBScriptファイル(Dridexで使用されているもう1つの既知の手法)


▲Amazonを騙るフィッシングメール(提供者:@JAMESWT_MHT)

ユーザーが指示されたファイルをダウンロードすると、Amazonの正規Webページへとリダイレクトされます。これは、被害者が本メールに関して抱く信用度を高めるための手口です。

感染ベクトルと攻撃の分析

この攻撃が利用している最初の感染ベクトルは、Amazonから送信されたように見せかけた、ギフトカードを無料で進呈すると称する電子メールです。このメールは、ユーザーにギフトカードをダウンロードするよう促しますが、それは実際には、下記に示す3つの異なる手法を通じて感染を引き起こします。

1つ目の感染手法:悪意あるマクロを含む文書

1つ目の感染手法は、ファイル名に「Gift Card」に類する文字列を含んでいる悪意あるWord文書を使用するものです。


▲悪意あるマクロを含んでいる文書の一覧

悪意あるWord文書は、マクロの実行を可能にするために「コンテンツの有効化」ボタンをクリックするよう被害者に促します。埋め込みマクロは通常デフォルトで無効になっているため、これは、この種の攻撃でよく使われるテクニックの1つです。


▲Word文書の内容

ユーザーがコンテンツを有効にすると、次に示すような難読化されたVBScriptファイルが実行されます。


▲検出率の低いDridexの悪意あるVBScriptファイル(Virustotalでの表示)

このマクロ自体には、Base64エンコーディングで難読化されたPowerShellスクリプトが含まれています。


▲Base64エンコーディングで難読化されたPowerShellスクリプトの先頭部分

このPowerShellスクリプトの先頭部分には、偽のエラーメッセージを表示するポップアップウィンドウを開くコマンドが含まれています。これは、ユーザーを騙して当該ファイルを開いた際にエラーが発生したと思い込ませ、ユーザーがそれに気を取られている間に、実際には悪意あるマクロをバックグラウンドで実行するものです。


▲偽のエラーを示すポップアップウィンドウ

Cybereason Defense Platformは、この悪意ある活動を検知した後、さまざまな攻撃コンポーネントをコマンドラインと共にログに記録した上で、Base64でエンコードされたデータを自動的にデコードします。


▲Cybereason Defense Platformにおける悪意あるドキュメントの実行

最後に、このPowerShellスクリプトは、C2サーバーに接続した後、Dridexをドロップします。

2つめの感染手法:スクリーンセーバーファイル

攻撃者が使用した2つ目の感染方法は、SCRファイルを利用するものです。SCRファイルは攻撃者によってよく利用されます。なぜなら、同ファイルを使うことで、攻撃者はファイル拡張子のみに基づいてファイルの選別を行う一部の電子メールフィルタをすり抜けることが可能となるからです。

また、SCRファイルは結局のところ自己解凍型のアーカイブであるため、同ファイルを使うことで、攻撃者は複数のコンポーネントを1つのファイルにバインドできるようになります。

SCRファイルは、Amazonをテーマにした本物そっくりのアイコンを持つほか、命名規則に従った信憑性のあるファイル名を持っています。少なくとも4つの特徴あるファイルがVirusTotalにアップロードされています。


▲Virustotalで確認されたSCRファイルの一覧

これらのSCRファイルの1つには、VBScript、アーカイブ(”reedmi.cvl”)、それを抽出するユーティリティ、そしてバッチファイルが含まれています。


▲SCRファイルの内容

最初に実行されるファイルは“svideo.vbs”であり、これはWScriptオブジェクトを作成した後、“elp.bat”を実行します。


▲svideo.vbsの内容

“plp.bat”はバッチファイルであり、同梱されている”extraPFZ”実行ファイルを使用してパスワード保護された”reedmi.cvsl”をリネームした後、同アーカイブを解凍します。続いて、同バッチファイルは、”reedmi.cvsl”から抽出された”chinatown.vbs”を実行した後、リネームされた”reedmi.cvsl”と共に自分自身を削除するほか、脅威アクターがその値を変更しなかった初期ドロッパーと思われるものも削除します。


▲elp.batの内容

“chinatown.vbs”に加えて、“reedmi.cvl”から別のバッチファイルがドロップされるほか、Dridex DLLもドロップされます。


▲reedmi.cvlの内容

繰り返しになりますが、このVBSファイルの役割はバッチファイルを実行することだけであり、今度は“7p.bat”を実行します。


▲chinatown.vbsの内容

最後に、”7p.bat “は、システムファイル属性を持つ隠しフォルダを作成した後、”regsvr32″を使用してDridex DLLを実行します。続いて、前段階で起動したextraPFZ実行ファイルを終了させた後、Dridex DLLのパーミッションを再び変更し、残りのファイルをすべて削除することにより、自らの痕跡を取り除きます。


▲reedmi.cvlから抽出された7p.batの内容

Dridex DLLはVirustotalで確認できます。


▲VirusTotalにおけるDridex DLLの検知

上記で説明した感染チェーン全体をCybereason Defense Platformで確認できます。この攻撃の各構成要素は文書化されており、SCRファイルとDridexを実行するregsvr32ファイルの両方が悪意あるファイルとして検知されています。


▲悪意あるSCRファイルのプロセスツリー(Cybereason Defense Platformでの表示)

Cybereasonセンサーの「防止モード」を有効にすると、Dridex DLLの実行を防ぐことができます。


▲CybereasonセンサーによるDridex DLLの実行阻止

3つ目の感染手法:VBscriptファイル

3つ目の感染手法は、メール本文に記述されている悪意あるリンクを通じてダウンロードされる単純なVBScriptファイルを使用するものです。


▲VirusTotalで確認されたギフトカード用のVBScriptファイル

このVBScriptファイルは、その内部にアーカイブがバンドルされているため、約2MBほどのサイズになっています。

このアーカイブは“Norris.zip”という名前であり、感染したマシン上にドロップされます。これには、“Gino.tga”という名前のDridex DLLが含まれています。


▲ “Norris.zip”アーカイブの内容

最後に、SCRファイルを使った感染手法と同様に、regsvr32プロセスを使用してDridex DLLが実行されます。

結論

サイバー犯罪者や国家レベルの脅威アクターはいずれも、トレンド状況を把握して悪用することを得意としており、彼らは与えられた状況(たとえば、ホリデーシーズン、現在進行中のCOVID-19パンデミック、あるいはその両方の組み合わせ)を利用することで、無防備な被害者をマルウェアに感染させようとします。

なお、被害者を騙してマルウェアをダウンロードさせるためにAmazon関連の攻撃が利用されたのは、今回が初めてではありません

COVID19が猛威を振るう世界において人々は新しい現実に直面しており、しかもホリデーシーズンは1年で人々が最も浮足立つ時期であるため、有名なEコマースベンダーを攻撃ベクトルの一部として利用するさまざまな攻撃(モバイルおよびデスクトップの両方を標的とするもの)を実施することが、脅威アクターにとって非常に魅力的なものに映っているようです。

オンラインショッピングの人気の高まりとそれに固有のリスクに加えて、Dridexがある程度のテイクダウン(削除)耐性を持つという事実、そしてその他にも多くの破壊的なマルウェアのバリアントが存在するという事実を踏まえると、ソーシャルエンジニアリングを利用するこのようなタイプの罠に人々が陥るリスクが非常に懸念されています。

このような攻撃を実行する場合、脅威アクターは、無防備な被害者の注意を引くために使用されるテーマをカスタマイズすることに、多くの時間を費やします。

感染後の感染したマシン上でペイロードを展開するプロセスは、多くの場合多段階に分かれており、高度な検知回避機能を備えています。

今回のDridex攻撃では、3つの異なる攻撃ベクトルが導入されており、1つのベクトルが失敗した場合には別のベクトルを試すようになっています。

すなわち、現在のDridex攻撃では、C2サーバー向けのバックアップ機構だけでなく、感染プロセス自体を完全に遂行するためのバックアップ機構も作成するようになっています。

ギフトカードの進呈やその他の景品提供を利用した同様の手法は、サイバー犯罪の世界では新しいものではなく、今後も使用される可能性が高いと考えられます。このような攻撃をいち早く検知し、適切な対策を講じるかどうかは、ユーザーの手に委ねられています。

MITRE ATT&CKによる分類

初回アクセス
フィッシング

実行
コマンドおよびスクリプティングインタープリター:PowerShell
コマンドおよびスクリプティングインタープリター:Windowsコマンドシェル
コマンドおよびスクリプティングインタープリター:Visual Basic

パーシステンス
ブートまたはログイン自動スタートの実行:レジストリ実行キー / Startupフォルダ

権限昇格
プロセスインジェクション

収集
MITB(Man in the Browser)攻撃

コマンド&コントロール(C2)
アプリケーション層プロトコル
チャネルの暗号化
プロキシ
リモートアクセスソフトウェア

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」